Finanzas y banca, Industria específica, Normas, regulaciones y cumplimiento Los grupos de políticas bancarias y de vivienda consideran que las nuevas medidas de denuncia cibernética son «imprácticas» Chris Riotta (@chrisriotta) • 23 de agosto de 2024 A los grupos de presión de los bancos no les gusta un requisito de notificación de incidentes de ciberseguridad para los custodios de valores respaldados por hipotecas. (Imagen: Shutterstock) Una coalición de grupos de presión de la banca y la vivienda instó a Ginnie Mae a revertir sus requisitos de notificación de incidentes de ciberseguridad «imprácticos» para los custodios de valores respaldados por hipotecas. Ver también: Plataforma de cadena de suministro de software para servicios financieros Ginnie Mae, una corporación propiedad del gobierno responsable de supervisar los pagos de valores en todo el país, emitió recientemente una política que requiere que los custodios de sus valores respaldados por hipotecas proporcionen una notificación a la entidad federal dentro de las 48 horas posteriores a la detección de un incidente de ciberseguridad «significativo». La Asociación de Banqueros Estadounidenses, el Instituto de Política Bancaria y el Consejo de Política de Vivienda publicaron una carta el jueves en la que piden a Ginnie Mae que revise sus requisitos de ciberseguridad y describen las medidas como «incompatibles» con los esfuerzos de armonización regulatoria cibernética del gobierno existentes. La carta dice que el nuevo requisito tiene «una definición poco práctica de ‘incidente de ciberseguridad significativo’ con umbrales excepcionalmente bajos para la presentación de informes. La definición cubre eventos que «potencialmente ponen en peligro» la información y otras normas «que probablemente abarcarían una gran cantidad de incidentes». El Consejo de Informes de Incidentes Cibernéticos del Departamento de Seguridad Nacional emitió anteriormente un informe que identifica al menos ocho requisitos de informe de incidentes que se aplican a las instituciones financieras. El secretario del DHS, Alejandro Mayorkas, dijo en una declaración en ese momento que las recomendaciones incluidas en el informe «simplifican y armonizan los requisitos de informe» al «definir claramente un incidente cibernético denunciable». “La introducción de un nuevo requisito con umbrales y plazos distintos para la presentación de informes complicará aún más un panorama regulatorio ya complejo”, dice la carta, y agrega que un enfoque regulatorio descoordinado “deja a los profesionales cibernéticos con menos tiempo para las actividades de seguridad centrales que son esenciales para gestionar eficazmente el riesgo cibernético de la organización”. El Memorando para todos los participantes de Ginnie Mae describe un incidente de ciberseguridad significativo como “un evento que real o potencialmente pone en peligro, sin autoridad legal, la confidencialidad, integridad o disponibilidad de información o un sistema de información”. La definición amplia también incluye cualquier incidente que “constituya una violación o amenaza inminente de violación de las políticas de seguridad” que tenga el potencial “de afectar directa o indirectamente la capacidad del emisor para cumplir con sus obligaciones”. Los nuevos mandatos de Ginnie Mae requieren que los emisores incluyan la fecha y la hora del incidente cibernético en su informe, así como un resumen del incidente basado en lo que se conoce en el momento de la notificación y un punto de contacto para las actividades de seguimiento. Las pautas del programa establecen que los representantes de Ginnie Mae “se comunicarán con el punto de contacto designado para obtener información adicional y establecer el nivel apropiado de participación necesario según el alcance y la naturaleza del incidente”. La guía también dice que Ginnie Mae está en el proceso de revisar sus requisitos de seguridad de la información “con la intención de refinar aún más sus requisitos de seguridad de la información, continuidad comercial y presentación de informes”. Ginnie Mae no respondió de inmediato a las solicitudes de comentarios. URL original de la publicación: https://www.databreachtoday.com/banking-lobby-asks-ginnie-mae-to-modify-cyber-reporting-rule-a-26130